审计保留系统使用情况的记录。审计服务包括帮助分析审计数据的工具。
在 Oracle Solaris 11.2 中管理审计 中对审计服务进行了介绍。有关手册页及其链接的列表,请参见在 Oracle Solaris 11.2 中管理审计 中的审计服务手册页。
以下审计服务过程对许多安全环境都很有用:
创建单独的角色以配置审计、检查审计以及启动和停止审计服务。将角色分配给可信用户。
将 "Audit Configuration"(审计配置)、"Audit Review"(审计检查)和 "Audit Control"(审计控制)权限配置文件用作角色的基础。
要创建角色或使用预定义的 ARMOR 角色,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的为用户指定权限。
使用 cusa 审计类审计所有管理员。
cusa 审计类中的事件涵盖会影响系统安全状况的管理操作。有关说明,请参见 /etc/security/audit_class 文件。有关过程,请参见如何审计除登录/注销以外的重要事件。
将审计记录发送到中央服务器。
将审计配置为与审计远程服务器 (Audit Remote Server, ARS) 配合使用。
在单独的 ZFS 池上调度完整审计文件到审计检查文件系统的安全传输。
在 syslog 实用程序中监视所选已审计事件的文本摘要
激活 audit_syslog 插件,然后监视报告的事件。
限定审计文件的大小。
将 audit_binfile 插件的 p_fsize 属性设置为有用的大小。考虑您的检查调度、磁盘空间、cron 作业频率以及其他因素。
在单独的 ZFS 池上调度完整审计文件到审计检查文件系统的安全传输。
查看审计检查文件系统上的完整审计文件。